שר הביטחון בני גנץ טס בשבוע שעבר לביקור בזק בפריז, כדי להיפגש עם שרת ההגנה הצרפתייה, פלורנס פרלי. הפגישה תואמה שבועות רבים מראש, אבל כשהתקרב המועד, שקלו במשרד הביטחון לדחות אותה, בגלל הלו"ז הצפוף של הדיונים בכנסת. בסופו של דבר החליט גנץ לעשות שמיניות, ולנסוע.
הסיבה: החשש שהצרפתים יפרשו את דחיית הפגישה כהתחמקות ישראלית, על רקע פרשת NSO. שר הביטחון העדיף להתעמת עם הביקורת הצרפתית, בעקבות טענות כי שירותי המודיעין של מרוקו השתמשו בתוכנת הריגול "פגסוס" של החברה כדי לעקוב אחר הטלפון הסלולרי של נשיא צרפת מקרון ושל חברי פרלמנט ועיתונאים נוספים. גנץ הציג לפרלי את ממצאי הביניים של הבדיקה שמקיימת ישראל בפרשה, והבטיח שישראל תשתף את צרפת בכל מה שתגלה בעתיד.
ספק אם השרים, עוזריהם או מי מהעיתונאים הצרפתים שמסקרים את הפרשה ידעו שבזמן שהתקשורת הצרפתית כותשת את פעילות הסייבר ההתקפי של NSO, ובמשתמע, את מדינת ישראל, פועלת מפריז חברה צרפתית, שמציעה את אותם מוצרים עצמם.
קוראים לה NEXA, והיא מציגה את עצמה כ"ספקית מוצרים ושירותים לביטחון הפנים". עמוד הבית באתר שלה מעוטר בצבעים של דגל צרפת. בין סל המוצרים הרחב שהיא מציעה כבר 15 שנים לגורמי אכיפת חוק ברחבי העולם - "מגוון שלם של מוצרים שמאפשרים לתפוס, ליירט ולתמרן טלפונים חכמים".
והיא לא לבד. בגרמניה פועלת מאז 2008 חברת FINFISHER (בתרגום מילולי - דג סנפיר), שמציעה ממשרדיה שבמינכן את אותם המוצרים בדיוק - פתרונות פרטניים או רחבים נגד פשיעה, טרור ועוד. בין היתר, היא מציעה "פתרונות לטלפונים חכמים, מחשבים נייחים, טאבלטים ורוב מערכות ההפעלה הקיימות".
שתי החברות האלו הן רק דוגמאות. יש לא מעט חברות נוספות שפועלות מאירופה ועוסקות בתחום הסייבר ההתקפי. POLUSTECH, שפועלת משווייץ, מעניינת במיוחד - בין היתר, כי אחד היזמים שלה הוא ניב כרמי, שהיה ממקימי NSO (ה־N בשם היא משמו הפרטי). זמן קצר לאחר הקמתה הוא עזב. בענף מספרים שקיבל בתמורה סכום פעוט משלו חוליו (המנכ"ל הנוכחי) ומעמרי לביא, שנותרו בעלי מניות מרכזיים בחברה.
פולוסטק עוסקת בהדבקה טקטית של טלפונים דרך רשת ה־GSM. הכלי שפיתחה משתלט על התדרים ומחקה אותם. כאשר הטלפון של המשתמש התמים מחפש ומתחבר לתא סלולרי, הוא מתחבר למעשה למחשב של החברה - והם מקבלים שליטה מלאה בו, מבלי שהוא יידע על כך, כמובן.
ויש חברות נוספות. MEMENTO LABS (לשעבר האקינג טים) האיטלקית פעילה בתחום, וכמוה MOLLITIAM הספרדית, שגם היא מציעה פתרונות המאפשרים מעקב ואיסוף מידע ממכשירים סלולריים, ממחשבים נייחים, ואפילו ממחשבי מקינטוש. כולן פועלות מלב אירופה, חלקן גם במדינות שזכויות אדם אינן בראש מעייניהן, בכלל זה מדינות המפרץ הפרסי. ככל הידוע, איש באירופה לא דרש לבדוק את פעילות החברות האלה, או לפרסם את רשימת הלקוחות שלהן, ואחר מי הן עקבו. זה בולט וצורם במיוחד לנוכח העליהום סביב תעשיית הסייבר ההתקפי בישראל, שלא יורד מהכותרות.
ייאמר מייד: ישראל חייבת לבדוק את פרשת NSO עד תומה. אם יתברר כי החברה או מי מלקוחותיה עברו על החוק או על ההיתרים - עליהם להיענש בחומרה. אבל נראה שמאחורי המתקפה הנרחבת מסתתרים גם אינטרסים מדיניים, כלכליים ואחרים. "הצביעות הצרפתית צועקת לשמיים", אומר גורם בכיר באחת מחברות הסייבר ההתקפי. "הם תוקפים אותנו, ובאותו הזמן פועלת להם מתחת לאף חברה שעושה את אותו הדבר בדיוק. וזה לא רק אצלם, אלא בכל אירופה".
הפושעים הפכו למוצפנים
ישראל היא מעצמת סייבר, אחת מרשימה מצומצמת של מדינות, לצד ארה"ב, רוסיה, סין ובריטניה. אחריה משתרכות מדינות גדולות פי כמה, כמו גרמניה ויפן.
בעבר אספה ישראל בעיקר מודיעין בסיגינט. היא התחברה בשלל דרכים אל הצינורות של תעבורת המידע ושאבה מהם כמויות אדירות של מידע. אבל מה שלא עבר בצינורות, נותר מחוץ להישג ידה. "זה היה עולם של דייגים", מסביר מומחה בעל שם בתחום, "היית יושב עם הרשת שלך ומחכה לדגים שיגיעו".
בעקבות פיגועי 11 בספטמבר 2001 חוקקה ארה"ב את "חוק הפטריוט" (Patriot Act), שהרחיב את הסמכויות שניתנו לרשויות אכיפת החוק לאסוף מודיעין. כתוצאה מכך, קיבלו הרשויות האמריקניות גישה לכל תעבורת האינטרנט העולמית, שאותה חלקו עם קבוצה מצומצמת של שותפים בעולם. ישראל, שלא נכללה ברשימה הזאת, נאלצה לפתח יכולת עצמאית בתחום. המשימה הוטלה על יחידה 8200.
אלוף (מיל') פרופ' יצחק בן ישראל, לשעבר ראש מנהלת פיתוח אמצעי לחימה ותשתיות (מפא"ת) במשרד הביטחון, וכיום ראש מרכז הסייבר באוניברסיטת תל אביב ומומחה עולמי בתחום, כתב לאחרונה במאמר שפרסם כי "האפשרות של גרימת נזק פיזי על ידי טכנולוגיית סייבר פרצה לתודעה העולמית בעקבות התמוטטות הצנטריפוגות במתקני העשרת האורניום באיראן שהתגלתה ב־2010 (תקיפה שיוחסה לישראל ולארה"ב; י"ל). היתה זו הפעם הראשונה שבה נחשף העולם הרחב ליכולת של גרימת נזק פיזי על ידי התקפות סייבר".
כתוצאה מכך, הפכה ישראל למוקד ידע עולמי בתחום הסייבר. תחילה בהגנה (צ'ק פוינט היתה פורצת הדרך, ובעקבותיה קמו עשרות חברות נוספות), ואחר כך גם בהתקפה.
"עולם הסייבר אילץ אותנו להפוך מפסיביים לאקטיביים", אומר המומחה. "במקום לחכות לדגים שיגיעו, ניתנה לנו האפשרות לצוד כל דבר בכל מקום. בשונה מסייבר הגנתי, שתפקידו לגרום לכך שלא יחדרו אליך, להתקפה יכולים להיות כמה שימושים - הראשון הוא לגרום לנזק פיזי, כמו השבתה או פגיעה ביכולות, והשני הוא איסוף מודיעין".
במקביל, בשנת 2007 הוציאה אפל את האייפון הראשון. אחד החידושים הדרמטיים בו היו האפליקציות, שרבות מהן היו מוצפנות. "אם בעבר, כדי להאזין לשיחה בין פושעים, הייתי הולך לשופט ומקבל צו, פתאום צצה בעיה: הפושעים החלו לדבר בשיחות מוצפנות, שלא יכולת להאזין להן", אומר הבכיר.
הבעיה החריפה דרמטית בעשור החולף. זה קרה כתוצאה מכמה גורמים, שלא בהכרח היו קשורים; החשוב שבהם היה אדוארד סנודן, שעריקתו לרוסיה והמידע שפרסם חשפו לראשונה את השימוש הסיטוני שעשו האמריקנים ב"חוק הפטריוט" כדי לאסוף כל סוג של מידע ברחבי העולם, כולל על מדינות ידידותיות. כתוצאה מכך הוגבל השימוש בחוק, והואץ השימוש באפליקציות מוצפנות, לאחר שארה"ב נתנה אישור להצפין כמעט כל דבר, כחלק ממהפכת הביטחון והפרטיות שהוביל ממשל אובאמה. אפליקציית התקשורת הפופולרית ביותר היא כמובן ווטסאפ, אבל לצידה מתנהלת פעילות נרחבת גם בסיגנל ובטלגרם.
ארגוני מודיעין ומשטרות ברחבי העולם עמדו מול אתגר חדש: כיצד עוצרים פושעים או טרוריסטים בלי יכולת גישה למערכות שבאמצעותן הם מתקשרים. אצל מדינות שלא נהנו מ"חוק הפטריוט", כמו ישראל (או רוסיה וסין), הבעיה הזאת היתה קטנה יחסית; הן כבר פיתחו לעצמן שרירים משלהן. אבל במדינות אחרות היא הפכה להיות מהותית, ולעיתים קיומית.
הראשונים שהזריקו כסף לתחום היו משטרים אפלים. את החוזה הראשון שלה חתמה NSO במקסיקו. לימים קשרו פרסומים את מערכת "פגסוס" שלה למעקב שביצעו הרשויות במקסיקו לא רק אחרי סוחרי סמים ופושעים אחרים, אלא גם אחרי עיתונאים וכל מי שאיים לדעתם על השלטון.
"בעולם שבו שיחות מוצפנות מקצה לקצה, אין כיום אלטרנטיבה אחרת למאבק בפשיעה חמורה ובטרור", תיאר מנכ"ל NSO חוליו את "פגסוס", בראיון ל"ישראל היום" לפני שבועיים. "הצפנה היא דבר מצוין לאזרח הנורמטיבי, אבל ארגוני מודיעין ואכיפת חוק צריכים כלים כדי למנוע את הפיגוע או את הפשע הבא. פגסוס היא תוכנה מצילת חיים: בזכותה נמנעו פיגועים כמעט בכל יבשת בעולם, ונעצרו יותר מ־100 פדופילים רק בשנים האחרונות".
בלי להותיר עקבות
NSO היא כיום המובילה העולמית בתחום של איסוף מודיעין. היא נכנסה לנעליה של חברת Hacking Team האיטלקית, שמחשביה נפרצו בשנת 2015, וכל המידע שהיה בהם הופץ ברבים. המידע הזה כלל רשימה ארוכה של לקוחות בכל רחבי העולם, כולל במדינות בעייתיות ביחסן לזכויות אדם כמו רוסיה, סודאן, לבנון וסעודיה, שנהנו מיכולותיה של תוכנת "דה וינצ'י" שסיפקה החברה.
קריסתה של האקינג טים (שכאמור, פועלת כיום מחדש בשם ממנטו לאבס) פתחה את השוק לתחרות רחבה. NSO, שכבר היתה קיימת והחזיקה בידה מוצר מוכח, היתה הראשונה לזנק פנימה. היא מעסיקה כיום כ־850 עובדים במשרדיה בהרצליה פיתוח, ויש לה חוזים עם 45 מדינות, בהיקף כולל של כ־250 מיליון דולר.
לצד NSO, פועלות בישראל יותר מעשר חברות בתחום. רובן אינן מבצעות את עבודת המעקב בעצמן, אלא מוכרות רישיונות שימוש ומתקינות את המערכת. את ההפעלה מבצע הגורם המקומי, וכך נוצרת הפרדה בינן לבין שימוש לא רצוי במערכת.
עובד לשעבר באחת החברות מסביר: "נניח שאתה במגעים עם גוף מסוים במדינה כלשהי. אתה לא באמת דובר את השפה, ואתה בטח לא יודע מי האיש שהם עוקבים אחריו. הם יספרו לך שזה מחבל או סוחר סמים, אבל זה יכול להיות כל אחד. החיץ הזה הוא קריטי עבורנו, אחרת עוד יעצרו אותנו על עבירות פליליות".
ההפרדה הזאת היא גם הטיעון העיקרי של NSO ושל תומכיה. "ההאשמות נגדם מגוחכות. זה כמו להאשים את פיג'ו שמכונית שהיא מכרה שימשה מחבל לפיגוע דריסה", אומר אלוף (מיל') פרופ' יצחק בן ישראל, לשעבר ראש מנהלת פיתוח אמצעי לחימה ותשתיות (מפא"ת) במשרד הביטחון, וכיום ראש מרכז הסייבר באוניברסיטת תל אביב. "הצרפתים מגלגלים עיניים: הם מכרו למרוקו נשק שהרג ועשה הרבה יותר נזק מאשר הסייבר הישראלי".
בתמצית, תוכנת "פגסוס" מאפשרת לפרוץ לטלפונים סלולריים ולשאוב מהם את כל המידע, לרבות תכתובות (כולל מוצפנות) ותמונות, בלי להותיר עקבות. היא גם מאפשרת למשתמשים בה להפעיל מרחוק את המצלמה והמיקרופון של הטלפון שנפרץ.
"קנדירו" עושה את אותו הדבר, רק במחשבים נייחים. היא ממוקמת בתל אביב, מעסיקה כ־80 עובדים, והיקף החוזים השנתי שלה מוערך ב־50 מיליון דולר.
"קוגנייט" (שהתפצלה מחברת "ורינט") ממוקמת בהרצליה ומעסיקה מאות עובדים בשלל תחומים, לרבות איסוף מידע מטלפונים סלולריים. היא התמחתה בעבר במערכות האזנה והקלטה, תחום שאיבד מהרלוונטיות שלו בעקבות המעבר הנרחב לשיחות ולתכתובות מוצפנות. היקף המכירות השנתי שלה נאמד במאות מיליוני דולרים.
"קוואדרים", שאוספת מודיעין רק ממערכת הפעלה של אפל (IOS), ממוקמת ברמת גן ומעסיקה כ־80 עובדים. לחברה יש גם סניף משנה בקפריסין, והיקף החוזים שלה מוערך בכמה עשרות מילוני דולרים בשנה.
לרשימה הזאת אפשר להוסיף את Cellebrite, שמעסיקה כ־700 עובדים, ומשרדיה הראשיים נמצאים בפתח תקווה. על פי התשקיף שפרסמה לקראת הנפקה בוול־סטריט, היקף מכירותיה בשנה שעברה נאמד ב־180 מיליון דולר.
החברה עסקה בעבר בהעברת מידע בין מכשירים, ועברה לעולמות הזיהוי הפלילי. היא התפרסמה לאחר הפיגוע שבוצע בסן ברנרדינו שבקליפורניה בדצמבר 2015, שבו נרצחו 14 בני אדם. כחלק מחקירת הפיגוע, ניסו חוקרי האף.בי.איי לחדור לטלפון הסלולרי של המחבל, סייד פארוק, אולם לא הצליחו, מאחר שהטלפון היה מוגן בסיסמה. יצרנית המכשיר סירבה לסייע, בטענה של הגנת הפרטיות, והחוקרים פנו אל "סלברייט", שפרצה את המכשיר עבורם. בעקבות זאת, זכתה החברה לא רק לפרסום עולמי, אלא גם להגדרה מילונית: אנשי המקצוע מכנים את פעולת שאיבת האינפורמציה ממכשיר "To Cellebrite it".
מצטרפת נוספת לתחום היא "פראגון", שאחד מבעליה הוא תא"ל (מיל') אהוד שניאורסון, לשעבר מפקד 8200. גם "פראגון" מנסה להתמודד עם ההצפנה מקצה לקצה באפליקציות שונות, שהיא הבעיה העיקרית שאיתה מתמודדים כיום גורמי הטרור וגורמי האכיפה בעולם. לחברה יש כמה עשרות עובדים, והיא פועלת מתל אביב.
חשש לשימוש לרעה
חברת "אינטלקסה" הישראלית פועלת מיוון ומתמחה אף היא בסייבר התקפי. עד השנה שעברה היתה ממוקמת בקפריסין. היא מעסיקה כמה עשרות עובדים, והיקף החוזים שלה נאמד בעשרות מיליוני דולרים בשנה. בראש החברה עומדים אל"מ (מיל') עוז ליב ואל"מ (מיל') טל דיליאן, בעבר מפקדי היחידה הטכנולוגית של מערך המבצעים המיוחדים באמ"ן (יחידה 81).
דיליאן היה בעבר בעליה של חברת "סירקלס", שפיתחה טכנולוגיה שמאפשרת לאכן כל מכשיר סלולרי בעולם. לאחר המעבר להצפנה, שהפך את עניין האיכון ללא רלוונטי, שינה דיליאן כיוון והקים את "אינטלקסה".
חברה ישראלית נוספת שפועלת מתחת לרדאר היא "בלו אושן". היא הוקמה כדי לספק שירותים ללקוח מדינתי ספציפי באסיה, בהיקף שמוערך ב־10-5 מיליון דולר בשנה, ומעסיקה כמה עשרות עובדים.
הרעיון של חברת "טוקה" שונה. יזמיה מעריכים כי היכולת לאסוף מידע דרך מחשבים וטלפונים סלולריים תצטמצם בעתיד, ולכן פועלים לעשות זאת בעולמות ה־IOT - האינטרנט של הדברים, ולמעשה כל מכשיר שמופעל על ידי מחשב, ממכונית ועד מקרר. "טוקה" פועלת מתל אביב, ומעסיקה כ־70 עובדים. היקף המכירות שלה מוערך ב־10 מיליון דולר בשנה.
יש עוד כמה חברות ישראליות שנכנסו לתחום הסייבר ההתקפי. "מגן", שפועלת מתל אביב ומעסיקה כ־100 עובדים; "וינטגו", שמעסיקה כמה עשרות עובדים; ו"נמסיס", שממוקמת בהרצליה ומעסיקה כ־30 עובדים.
יש חברות, כמו "פראגון" ו"טוקה", שמבהירות כי הן מוכרות את מוצריהן אך ורק למדינות מערביות שפועלות על פי הכללים הדמוקרטיים. לא מדובר בעניין שולי: עיקר הדיון סביב מכירת יכולות כאלו נוגע לשימוש שמשטרים עושים בהן למטרות לא ראויות, תוך פגיעה בזכויות אדם. סביר להניח שגם "סלברייט" תידרש להתחייב על כך, כדי לאפשר את הנפקתה בבורסה.
אבל יש חברות שמוכרות גם למשטרים מפוקפקים, כמו סעודיה, מרוקו והאמירויות. "המדינות הללו משלמות הכי הרבה", אומר בכיר במערכת הביטחון. "מדינה כזאת יכולה לשלם פי 10 ולפעמים פי 20 מאשר מדינה מתקדמת, כך שהפיתוי גדול". ועדיין, חלק מהחברות הללו ('קנדירו', למשל) מחזיקות ועדת אתיקה, ולעיתים לא מאשרות מכירה למדינות מסוימות, מחשש שייעשה במערכת שימוש לרעה.
וישנה גם DarkMatter, הנמצאת בבעלות שירותי המודיעין של איחוד האמירויות. היא הוקמה לפני שנים אחדות כדי לחסוך מהאמירותים את ההישענות על גורמים זרים בתחום הסייבר ההתקפי (ואת המחיר הכבד שנלווה לכך), ולהעניק להם עצמאות מלאה. משרדיה הראשיים ממוקמים באבו דאבי, אבל יש לה חברה בת בקפריסין, שמעסיקה כמה ישראלים שפותו לעבוד בה תמורת סכומי עתק.
חולשות שוות זהב
כל החברות מתבססות על עניין בסיסי: חולשות. פרצה בתוכנה, שמאפשרת לתוקף לחדור אליה ובעצם להשתלט עליה. בעולם מתנהלת בורסה שלמה סביב החולשות; יש אפילו חברה אמריקנית בשם "זירודיום", שהיא ה"לוי יצחק" של עולם החולשות, ועל פי המדד שלה נקבעים האופי והמחירים של החולשות.
חוקרי חולשות הם המשאב הנדרש ביותר בעולם הסייבר כיום. הם מאפשרים לסתום פרצות אצל המגן, ולאתר פרצות עבור התוקף. אין גורם מדינתי או חברה שלא מעסיקים חוקרי חולשות: המדינות עושות זאת כדי להגן על עצמן ולתקוף אויבים; החברות הגדולות - מיקרוסופט, גוגל, אפל ואחרות - כדי לבצר את מעמדן ולחסן את המוצרים שלהן; וחברות הסייבר ההתקפי - כדי לאתר פרצות שעל בסיסן יוכלו לבנות את המערכות שהן מוכרות. חוקר חולשות מתחיל ישתכר לפחות 50 אלף שקלים בחודש. חוקר חולשות בכיר יקבל כפול מזה, ויותר.
8200 בוחרת את חוקרי החולשות שלה בפינצטה ומטפחת אותם. רבים מהם מקבלים דרך קבע הצעות מפתות מחברות מסחריות. "כשקצין מודיעין בן 23, שמרוויח 10,000 שקלים בחודש, מקבל מ־NSO הצעה ל־120 אלף, פלוס מענק חתימה שמן, הוא עומד בפני דילמה לא פשוטה", אומר המומחה בתחום.
רוב חברות הסייבר ההגנתי שמגלות חולשות חושפות אותן לציבור בחינם. אבל חברות הסייבר ההתקפי חיות מהן ושומרות עליהן מכל משמר. "זה הזהב שלנו", אומר בכיר באחת מחברות הסייבר ההתקפי. "חברה יכולה ליפול על חולשה שלה שתיחשף".
לדבריו, יש כיום חוקרים שמעדיפים לעבוד באופן פרטי. "הם מתגוררים באיזשהו מקלט מס, מוצאים חולשה - ואז מוכרים אותה לחברה שבה היא נמצאה, כדי לאפשר לה להתגונן מפניה. יש חולשות שנמכרות במיליוני דולרים".
הניצול של חולשה כדי לחדור למערכת מתבצע בשיטות שונות. חלק מתוכנות הפריצה, כמו "פגסוס", מאפשרות לתוקף כניסה ללא צורך בפעולה כלשהי מצד הנתקף (Zero click). אחרות דורשות מהנתקף לעשות פעולה כלשהי - למשל, ללחוץ על קישור - כדי לאפשר את הפריצה (One click).
כדי להבין עד כמה העסק הזה חם, די להסתכל ברשימת החברות האמריקניות שמחפשות חוקרי חולשות כדי להיכנס לתחום הסייבר ההתקפי. מככבות בה ענקיות כמו לוקהיד־מרטין, נורת'רופ, ואחרות. הממשל האמריקני הקצה לחברות הללו מיליארדי דולרים למחקר ופיתוח. ככל הידוע, גם ענקית הנשק הישראלית אלביט בוחנת אפשרות להיכנס לתחום.
את מה שלא יעשו האמריקנים, יעשו האירופאים. בשלל מדינות אירופיות פעילות כיום לא מעט חברות סייבר התקפי, שמציעות בדיוק את אותם המוצרים. זה לא מונע מהממשלות שם לתקוף כעת את ישראל. "לא זכויות אדם עומדות מאחורי זה, אלא ביזנס", אומר בן ישראל. "שיפסיקו לגלגל עיניים. לאף אחד בעולם אין פתרון אחר לבעיות של פשיעה וטרור בעולם של תקשורת מוצפנת".
"מה זה 'אתיקה'?"
בשנת 2020 עמד היצוא הביטחוני הישראלי בתחום הסייבר על 6.85 מיליארד דולר, על פי נתוני משרד הביטחון, שמפקח על המכירות. מתוך הסכום הזה, היצוא של מוצרי סייבר התקפי הסתכם ב־415 מיליון דולר. הביזנס הפורה הזה מפרנס אלפי משפחות בישראל במישרין, ועוד עשרות אלפים בעקיפין, משום שהוא תורם לפריחתן של חברות רבות שניזונות ממנו.
זו הסיבה העיקרית למלחמת העולם שמתנהלת בין החברות הישראליות שעוסקות בסייבר התקפי. כולן נלחמות על לקוחות ועל עובדים, חלקן אינן בוחלות בהדלפות ובהשמצות, ולעיתים גם באיומים. בכל החברות, אגב, מקפידים לדבר על קריטריונים אתיים, מה שמעלה גיחוך אצל בכיר במערכת הביטחון. "לא ברור מה זה 'אתיקה'. אם הן גונבות עובדים מ־8200, זה אתי? אם הן מנסות לגנוב יכולת מ־8200?, זה אתי?"
ההחלטה של חלק מהחברות לפעול מחו"ל אינה מקרית. סייבר התקפי שמיוצא מישראל מחייב אישור של האגף לפיקוח על היצוא הביטחוני (אפ"י) במשרד הביטחון, ואילו חברות ישראליות שפועלות בחו"ל אינן כפופות לפיקוח הזה.
עד להקמת אפ"י ב־2006 היה הפיקוח בידי האגף לסיוע ביטחוני (סיב"ט) במשרד הביטחון, שנמצא בניגוד עניינים מובנה: מצד אחד, תפקידו הרשמי הוא לעודד מכירה של מערכות ביטחוניות ישראליות; מצד שני, הוא היה אמור להגביל אותן.
ב־2007 חוקקה הכנסת את חוק הפיקוח על היצוא הביטחוני, ושנה לאחר מכן תוקנו התקנות מכוח החוק החדש. הן מקנות לאגף סמכויות פיקוח ואכיפה נרחבות - מאישור עסקאות ועד לסנקציות על חריגה מהיתרים. אלה יכולות להגיע לקנס של עד מיליון שקלים, שלילה או התליה של רישיון, ואפילו הסרה ממרשם היצואנים הרשמי.
הפיקוח הישראלי מתבצע בהתאם ל"הסדר ואסֶנאר" (Wassenaar Arrangement), שנחתם ב־1996 בהולנד על ידי 42 מדינות כדי להסדיר את הפיקוח על חימוש ועל מוצרים דו־שימושיים שיכולים לשמש במקביל לצרכים אזרחיים וצבאיים. הפיקוח על הסייבר החל רק ב־2015, וגם אז, באופן כללי בלבד, תחת הסעיף העמום של "תוכנות חדירה". ב־2018 הובהר כי הסעיף הזה כולל מוצרי סייבר התקפי שמאפשרים לאסוף מידע בכל דרך ומכל פלטפורמה. תוכנות סייבר הגנתי ניתנות למכירה ללא פיקוח או צורך באישורים כלשהם.
ישראל אמנם לא חתומה על ההסדר, אבל פועלת ברוחו. במקרים רבים, היא אף מחמירה בהרבה. כך, ברוב המדינות שחתומות על ההסדר, הפיקוח והאישור מתבצעים דרך משרדי הכלכלה, ולא משרדי ההגנה, שהם קפדניים יותר. בישראל מתבצעת רוב הפעילות דרך משרד הביטחון (אפ"י), ורק מקצתה (האזרחית) דרך משרד הכלכלה.
מי שמבקש לייצא מישראל יכולת ביטחונית, חייב באישור אפ"י. ככלל, מתאפשרת מכירה רק לגורמי ממשל מדינתיים, ולא לגורמים פרטיים, שעלולים לעשות בהם שימוש מסחרי. החוזה עצמו אמנם נחתם בין החברה למדינה הזרה, אבל הוא כולל הצהרה של אותה מדינה לאפ"י שלא ייעשה כל שימוש לרעה במערכת.
האישור ניתן בשני שלבים - תחילה יש לקבל רישיון שיווק, שמאפשר ניהול מו"מ, הגשת הצעות מחיר וחתימה על עסקה; ואחריו יש לקבל רישיון לייצא את המערכת בפועל. זה פיצול ייחודי לישראל, שנועד לאפשר שני מנגנוני בקרה ובלימה, במקרה שמתגלה חשש לחריגה מההיתרים.
ברגע שמוגשת בקשה לאישור למערכת מסוימת, היא עוברת בדיקות מדוקדקות של מפא"ת ושל הממונה על הביטחון במערכת הביטחון (מלמ"ב), שאמורים להעניק לה "חותמת כשרות" מקצועית. לאחר מכן מתכנסת ועדה, שבה חברים נציגי משרדי הביטחון והחוץ, וגורמים נוספים רלוונטיים - לרוב, אנשי מוסד, שב"כ, צה"ל או הוועדה לאנרגיה אטומית, שנדרשים לחוות דעת מקצועית על האפשרות של מכירת מערכת ספציפית למדינה ספציפית.
החוק קובע כי אישור המכירה מחייב הסכמה פה אחד של משרדי הביטחון והחוץ. אם נציג משרד החוץ מתנגד, ונציג משרד הביטחון מתעקש, מתנהל מנגנון של "אסקלציה", שבו עולות ההחלטות לדרג סמנכ"לים, ובהמשך אל מנכ"לי המשרדים, ובמקרים קיצוניים - אל השרים עצמם. "זה קרה לא פעם, כולל במכירות של סייבר התקפי למדינות במפרץ. גם ראש הממשלה היה מעורב בעניין לעומק", אומר הבכיר במערכת הביטחון.
כמה גורמים שהתראיינו לכתבה טענו כי התהליך באפ"י מסורבל ואיטי מאוד. לטענתם, מרגע הגשת הבקשה ועד שניתן האישור חולף זמן רב. אחד מהם סיפר כי משך הטיפול הממוצע בבקשה הוא ארבעה חודשים, מה שמסרבל את העסקאות.
מצד שני, אפ"י היא השכפ"ץ של החברות, תעודת הכשרות שלהן. הן עצמן מבהירות כי אם מתברר שלקוח חורג מהרישיון שקיבל - למשל, בהאזנה לעיתונאים או לפעילי זכות אדם - הוא ינותק לאלתר. הבעיה היא שבדרך כלל קשה להוכיח הפרות כאלו, וגם מנגנון הפיקוח של אפ"י, שפועל מכוח החוק, הוא סבוך ולא תמיד יעיל.
מידע ממחשבים בעזה
את רשימת המדינות שרוכשות סייבר התקפי ניתן לחלק באופן גס לשלוש קבוצות. הראשונה, "המדינות הלבנות", כוללת את כל המדינות המערביות. השנייה, "המדינות השחורות", כוללת משטרים עוינים או כאלה שיש בהן הפרה בוטה ושיטתית של זכויות אדם, שלא תתאפשר בהן מכירה של סייבר התקפי - רוסיה, סין, צפון קוריאה, איראן, ועוד.
הקבוצה השלישית כוללת את "המדינות האפורות", ובה נבחן כל מקרה לגופו. "קשה לדעת את הקריטריונים שלפיהם ניתן או לא ניתן אישור", אומר בכיר בחברת סייבר ביטחוני. "האינטרס של החברות ברור, אבל היו לא מעט מקרים שבהם דווקא מדינת ישראל היא שדחפה אותן למכור למדינה כזאת או אחרת".
עדות לכך ניתנה בפרסום של ה"ניו יורק טיימס" בחודש שעבר. נטען בו כי ישראל סייעה לכמה חברות סייבר התקפי (ובהן NSO, "קנדירו", "קוואדרים", "וורינט" ו"סלברייט") למכור לסעודיה.
האינטרס ברור: לסייע לבעלת ברית של ישראל במאבקה באיראן, בדאעש ובאל־קאעידה; "לפתוח ציר" למכירות ביטחוניות של חברות ישראליות נוספות לסעודיה, ובהמשך גם של מוצרים אזרחיים; ולהקדים חברות בינלאומיות אחרות, שמן הסתם, היו ממהרות לחתום בעצמן על חוזים דומים.
אבל סעודיה, על פי הפרסום, עשתה במהלך השנים שימוש פסול בחלק מהיכולות שקיבלה.
פרסומים נרחבים (שהוכחשו) קשרו את "פגסוס" עם מעקבים שבוצעו כחלק מפרשת חיסולו של העיתונאי ג'מאל חשוקג'י. גם איחוד האמירויות נחשדה בהפעלת יכולות כאלו נגד פעילי זכויות אדם, וטענות דומות עלו במקסיקו.
אחת הפרשות הרגישות ביותר בתקופה האחרונה נקשרה בשמה של "קנדירו". תחקיר של קבוצת "סיטיזן לאב" הקנדית (שאחראית גם לחלק ניכר מהפרסומים בשנים האחרונות נגד NSO) הוביל לחקירה של מיקרוסופט, שתפסה בחודש שעבר את הרוגלה שהפעילה "קנדירו" במחשבים נייחים ברחבי העולם.
מיקרוסופט טענה כי החברה ניצלה חולשות במערכת ההפעלה ווינדוז ומכרה גם כלי פריצה לגוגל כרום. בין היתר, נתגלו "כלים" של החברה במחשבים באיראן, בתימן, בטורקיה, בארמניה, בבריטניה, בספרד ובהונגריה. אפשר להעריך שבמדינות המערביות בוצעו המעקבים על פי חוק ובאישור שופט, אבל הנזק בחשיפתם נעשה.
אלא שיותר ממחצית מכלי התקיפה נתפסו על מחשבים בעזה. לא צריך דמיון מפותח כדי להבין למי יש אינטרס לאסוף מידע על מחשבים שבהם מאוחסן מידע מסווג בעזה, ולמי היו שייכים המחשבים הללו. ניתוח האירוע מלמד שגופי הביטחון בישראל לא נשענים רק על היכולות שלהם, אלא נזקקים לעיתים לסיוע מחברות אזרחיות שפועלות בתחום.
הפרדוקס הוא שאת החקירה של מיקרוסופט ביצע הסניף של החברה בהרצליה. "נגרם לישראל נזק משמעותי", אומר גורם ביטחוני בכיר שמכיר את הנושא מקרוב. "עכשיו יהיה קשה יותר להילחם בטרור בעזה. הטילים שיעופו משם עלולים לפגוע גם במשרדים של מיקרוסופט ובעובדים שלה".
וזה, בתמצית, עיקר הטיעון של חברות הסייבר ההתקפי: הן כלי חיוני למיגור פשיעה וטרור, שבלעדיו רוב גורמי המודיעין והאכיפה בעולם יהיו חסרי אונים. בחברות חוששים כי הגל הנוכחי יוביל לצעדים דרקוניים חדשים, שיגבילו אותן. גורם בכיר במערכת הביטחון מאשר כי "העניין אכן נבחן לאור הפרסומים האחרונים, ומן הסתם יהיו שינויים".
"אם יאסרו את מכירת הכלים האלה, יקרה רק רע", אומר בכיר באחת החברות. יצחק בן ישראל מסכים: "אם ישראל לא תמכור, אחרים ימכרו. הרבה ידע יזלוג מכאן, כי חברות נוספות יעברו לעבוד מחו"ל, בלי פיקוח. הסייבר הישראלי ייפגע, הכנסות המדינה ייפגעו, וכמובן שהביטחון ייפגע. כאן ובכל העולם".
shishabat@israelhayom.co.il
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו